cybersecurity – was auf engineering und management …...cybersecurity – was auf engineering und...
TRANSCRIPT
![Page 1: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/1.jpg)
Cybersecurity –Was auf Engineering und Management zukommt
Talk im Park – Mai 2017
Jens Palluch, Method Park Consulting GmbH
![Page 2: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/2.jpg)
2
Motivation
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
Quelle
: htt
p:/
/ww
w.h
eis
e.d
e/s
ecurity
/meld
ung/H
acker-
ste
uern
-Jeep-C
hero
kee-f
ern
-27
56
33
1.h
tml?
vie
w=
![Page 3: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/3.jpg)
3
Was ist Security?
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
Security:
“The degree to which a product or system
protects information and data so that
persons or other products or systems have
the degree of data access appropriate to
their types and levels of authorisation.”
[ISO 25010 product quality model]
![Page 4: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/4.jpg)
4
CIA – wünschenswerte Eigenschaften
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
Confidentiality
Integrity
Availability
•Access to information only for authorized entities
•Loss of confidentiality: e.g. Heartbleed
•Information can only be altered by authorized entities
•Loss of integrity: e.g. changing DNS entries in a router
•Systems and services are accessible to authorized entities
•Loss of availability: e.g. CryptoWall, DOS1, etc.
1 DOS = Denial of Service
![Page 5: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/5.jpg)
5
ISO 25010 Konzepte
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
Product quality model
� Confidentiality
� “degree to which a product or system ensures that data are accessible only to those authorized to have access”
� Integrity
� “degree to which a system, product or component prevents unauthorized access to, or modification of, computer programs or data”
� Non-repudiation
� “degree to which actions or events can be proven to have taken place, so that the events or actions cannot be repudiated later”
� Accountability
� “degree to which the actions of an entity can be traced uniquely to the entity”
� Authenticity
� “degree to which the identity of a subject or resource can be proved to be the one claimed”
![Page 6: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/6.jpg)
6
Motivation
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
Quelle
: htt
p:/
/ww
w.h
eis
e.d
e/n
ew
sticker/
meld
ung/W
eitere
-Sic
herh
eitslu
ecke-in-H
ospira-I
nfu
sio
nspum
pen-2
682272.h
tml
![Page 7: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/7.jpg)
7
Was ist Cybersecurity?
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
“4.20 Cybersecurity:Cyberspace security
preservation of confidentiality, integrity and
availability of information in the Cyberspace Note 1 to entry: In addition, other properties, such as authenticity,
accountability, non-repudiation, and reliability can also be involved.
Note 2 to entry: Adapted from the definition for information security in
ISO/IEC 27000:2009.”
ISO 27032:2012 – IT - Security techniques - Guidelines for cybersecurity
“4.21 the Cyberspace complex environment resulting from the interaction of people, software and services on the Internet by means of technology devices and networks connected to it, which does not exist in any physical form”
![Page 8: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/8.jpg)
8
Was ist Cybersecurity?
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/cyber-sicherheit_node.html
Cyber-Sicherheit:
“Cyber-Sicherheit befasst sich mit allen Aspekten der
Sicherheit in der Informations- und
Kommunikationstechnik.
Das Aktionsfeld der klassischen IT-Sicherheit wird dabei
auf den gesamten Cyber-Raum ausgeweitet. Dieser
umfasst sämtliche mit dem Internet und vergleichbaren
Netzen verbundene Informationstechnik und schließt
darauf basierende Kommunikation, Anwendungen,
Prozesse und verarbeitete Informationen mit ein. ”
![Page 9: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/9.jpg)
9
Cyber-Sicherheitsstrategie
• Digitale Kompetenz bei allen Anwendern fördern
• Digitaler Sorglosigkeit entgegenwirken
• Kritische Infrastrukturen sichern
• Unternehmen in Deutschland schützen
• …
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
![Page 10: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/10.jpg)
10
IT-Sicherheitsgesetz
• Angemessene organisatorische und technische Maßnahmen
Maßnahmen
• Nachweis bzgl. der Maßnahmen
Nachweis
• Meldepflicht erheblicher Störungen
Meldepflicht
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
![Page 11: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/11.jpg)
11
IT-Sicherheitsgesetz
Betreiber kritischer Infrastrukturen
Betreiber kommerzieller Webangebote
Ausnahme: Kleinstunternehmen[ bis 9 MA und (bis 2 Mio € Jahresumsatz oder –bilanz)]
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
Wer ist betroffen?
![Page 12: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/12.jpg)
12
Betreiber kritischer Infrastrukturen(KRITIS)
• Angemessene Maßnahmen nach Stand der Technik zur Vermeidung von Störungen der
• Verfügbarkeit
• Integrität
• Vertraulichkeit
• Authentizität
• Nachweis der Maßnahmen alle 2 Jahre gegenüber dem BSI
• Meldepflicht erheblicher Störungen gegenüber dem BSI
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
![Page 13: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/13.jpg)
13
Kritische Infrastrukturen ?!?
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
1. Branchen
• Energie
• Informationstechnik und Telekommunikation
• Transport und Verkehr
• Gesundheit
• Wasser
• Ernährung
• Finanz- und Versicherungswesen
2. Von hoher Bedeutung für Funktionieren des Gemeinwesens
• Erhebliche Versorgungsengpässe
• Gefährdung der öffentlichen Sicherheit
![Page 14: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/14.jpg)
14
Kritische Infrastrukturen ?!?
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
BSI-Kritisverordnung (BSI-KritisV)
definiert seit 03. Mai 2016 Kriterienfür die Branchen
• Energie
• Informationstechnik und Telekommunikation
• Wasser
• Ernährung
⇒ Betroffene Unternehmen müssen bis zum 03. Mai 2018 die gemäß IT-Sicherheitsgesetz geforderten Nachweise erbringen
![Page 15: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/15.jpg)
15
Motivation
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
Quelle
: htt
ps:/
/ww
w.h
eis
e.d
e/n
ew
sticker/
meld
ung/M
assiv
er-
Hacker-
Angriff
-auf-
Thyssenkru
pp-3
56585
7.h
tml
![Page 16: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/16.jpg)
16
EU-Richtlinie vs. EU-Verordnung
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
Nationales Gesetz
EU-Richtlinie
Deutsche (Rechts-)Verordnung
Harmonisierte Normen
EU-Mitgliedsstaat
EU-Verordnung
ist umzusetzen durch
wird in Deutschland ergänzt durch
verweist auf
ist unmittelbar wirksamund verbindlich für
ist ver-bindlich für
ist ver-bindlich für
![Page 17: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/17.jpg)
17
EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie)
•Angemessene organisatorische und technische MaßnahmenMaßnahmen
•Nachweis bzgl. der MaßnahmenNachweis
•Meldepflicht erheblicher StörungenMeldepflicht
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
Betreiber wesentlicher Dienste
Anbieter digitaler Dienste
Ausnahme: Kleinstunternehmen und kleine Unternehmen als Anbieter digitaler Dienste[ bis 49 MA und (bis 10 Mio € Jahresumsatz oder –bilanz)]
1. Online-Marktplatz2. Online-Suchmaschine
3. Cloud-Computing-Dienst
![Page 18: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/18.jpg)
18
Wer ist verantwortlich?
Die Verantwortung für IT-Sicherheit liegt bei der Unternehmens-leitung!!!
Haftungsrisiken existieren
(z.B. fordern§93 AktG und §43 GmbHG Sorgfaltspflichten)
Schadenersatz bei Schäden
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
![Page 19: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/19.jpg)
19
Was kann man tun?!?
“The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards - and even then I have my doubts.”
Gene Spafford[https://en.wikiquote.org/wiki/Gene_Spafford]
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
![Page 20: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/20.jpg)
20
Einrichten eines ISMS(Informationssicherheitsmanagementsystem)
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
![Page 21: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/21.jpg)
21
Grundlegende Komponenten eines ISMS
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
Management-Prinzipien
ISMSRessourcen Mitarbeiter
Sicherheitsprozess
• Leitlinie zu Informationssicherheit
• Sicherheitskonzept• Informationssicherheitsorganisation
![Page 22: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/22.jpg)
22
IT-Grundschutz-Vorgehensweise
A) Grundstein legen
• Leitungsebene übernimmt Verantwortung
• Konzeption und Planung
• Rahmenbedingungen ermitteln
• Analyse der Geschäftsprozesse
• allgemeine Informationssicherheitsziele definieren
• Sicherheitsniveau der Geschäftsprozesse grob festlegen
• Leitlinie zur Informationssicherheit erstellen
• IS-Organisation aufbauen (Rollen, Aufgaben, Zuordnungen)
• Ressourcen bereitstellen (IT-Sicherheitsbeauftragter!)
• Einbindung aller Mitarbeiter
• Mitarbeiter bzgl. IS schulen und sensibilisieren
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
![Page 23: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/23.jpg)
23
IT-Grundschutz-Vorgehensweise
B) Sicherheitskonzept planen
• Geltungsbereich definieren
• Strukturanalyse
• Geschäftsprozesse, Anwendungen und Informationen
• Netzplan
• IT-Systeme
• Räume
• Schutzbedarf feststellen für
• Anwendungen, IT-Systeme, Räume, Kommunikationsverbindungen
• Auswahl und Anpassung von Maßnahmen
• Basis-Sicherheitscheck
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
![Page 24: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/24.jpg)
24
IT-Grundschutz-Vorgehensweise
C) Sicherheitskonzept umsetzen
• Maßnahmen konsolidieren, Kosten- und Aufwandsschätzung
• Umsetzung planen (wer, was, bis wann) und kontrollieren
• Mitarbeiter schulen und sensibilisieren
D) Aufrechterhaltung und kontinuierliche Verbesserung
• Zielerreichung messen
• Wirksamkeit und Effizienz der Maßnahmen überprüfen
• Sicherheitsziele, -strategie und –konzept auf Eignung prüfen
• Leitungsebene über Status des IS-Prozesses informieren
• Synergien zwischen IS-Prozess und anderen Management-prozessen (QM, Arbeitsschutz, Umwelt) ermitteln
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
![Page 25: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/25.jpg)
25
Common Criteria (CC) –ISO/IEC 15408
� History – CC originated from three standards
� ITSEC (France, Germany, the Netherlands, UK), 1990’s.
� CTCPEC, Canada, 1993.
� TCSEC, Orange Book or DoD 5200.28 Std, 1985
� Comprised of three parts providing a methodology for
� defining security requirements for product types (called protection profiles) e.g. a firewall or an operating system)
� defining security requirements for specific products (called security targets)
� evaluating and certifying software products and hardware-software-systems. For certification in Germany see the webpages of Federal Office for Information Security (BSI)
� download under http://www.commoncriteriaportal.org/cc/
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
![Page 26: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/26.jpg)
26
Common Criteria – Part I Security concept
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
[Common Criteria for Information Technology Security Evaluation, Part 1: Introduction and general model, v3.1, Sept. 2012]
RiskInformation Owner
Counter-Measures
Assets
Threats
Threat agents
increase
wishesto
minimise
give rise to
to
reduce
wishesto
abuseor damage
imposes
values
![Page 27: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/27.jpg)
27
Security by Design –Security Engineering
“We wouldn't have to spend so much time, money, and effort on network security if we didn't have such bad software security.”
[Vorwort von Bruce Schneier in: Viega & McGraw: Building Secure Software - How to Avoid Security Problems the Right Way, Addison Wesley, 2001]
“Present software development methods lack in-depth security awareness, discipline, best practice, and rigor, and this is evidenced by the sheer quantity of security patches issued each year by all software vendors.”
[Howard & Lipner: The Security Development Lifecycle - SDL: A Process for Developing Demonstrably More Secure Software, Microsoft Press, 2006]
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
![Page 28: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/28.jpg)
28
Security Engineering Standards
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
Security Engineering
Lifecycle
ISO/IEC 27034
NIST Special Publication 800-64
Microsoft SDL
NIST Special Publication 800-160
“Benchmark”
SAMM
BSIMM
SSE-CMM (ISO/IEC 21827)
![Page 29: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/29.jpg)
29
NIST Special Publication 800-64
Security Considerations in the System Development Life Cycle
• definiert Security-Aktivitäten und Kontrollpunktefür jede der 5 Lebenszyklusphasen
1. Initiation – Security mehr aus Sicht von Geschäftsrisiken berücksichtigen
2. Development/Acquisition – Entwicklungs-und Test-Aktivitäten
3. Implementation/Assessment – Aktivitäten zur Integration des Systems in die Produktivumgebung
4. Operations and Maintenance – Aktivitäten für Betrieb und Wartung
5. Disposal – Aktivitäten bzgl. Archivierung, usw.
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
![Page 30: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/30.jpg)
30
MS Security Development Lifecycle
• Umsetzung der ISO/IEC 27034
• Dokumentation im Internet
• Microsoft SDL - Developer Starter Kit
• 14 Themen
• Jedes Thema:
• Powerpoint-Präsentation
• Traineranleitung
• Aufgezeichnete Präsentation
• Verständnisfragen(inkl. Antworten)
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
TrainingRequire-ments
DesignImplemen-
tationVerifi-cation
Release Response
![Page 31: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/31.jpg)
31
Software Assurance Maturity Model (SAMM)
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
![Page 32: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/32.jpg)
32
Bedrohungen und Schwachstellen
Bedrohung (Threat):
Umstand oder Ereignis, der oder das die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen beeinträchtigen kann.
Schwachstelle (Vulnerability):
Eine Schwachstelle ist ein sicherheitsrelevanter Fehler eines IT-Systems oder einer Institution. Ursachen können in der Konzeption, den verwendeten Algorithmen, der Implementation, der Konfiguration, dem Betrieb sowie der Organisation liegen.
Wert (Asset)
Werte sind alles, was wichtig für eine Institution ist (Vermögen, Wissen, Gegenstände, Gesundheit).
[Quelle: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/Glossar/glossar_node.html]
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
![Page 33: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/33.jpg)
33
Bedrohungsmodellierung
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017
[oriented on OWASP threat assessment and C. Graf, Security Testing – Nur eineAufgabe für geborene Hacker?, SQ-Magazin, Issue 39, June 2016]
![Page 34: Cybersecurity – Was auf Engineering und Management …...Cybersecurity – Was auf Engineering und Management zukommt Talk im Park – Mai 2017 Jens Palluch, Method Park Consulting](https://reader033.vdocuments.mx/reader033/viewer/2022050113/5f4a031e91bb81620f6716c2/html5/thumbnails/34.jpg)
34
Zum Ende
© Method Park Consulting GmbH / Jens Palluch / Cybersecurity – Was auf Engineering und Management zukommt / Talk im Park - Mai 2017